王永
根据Akamai《互联网发展状况安全报告》显示:网络安全正在从传统的DDos粗犷型的攻击转向应用层上上层,特别是“撞库”——当网站客户的帐号和密码组合被泄露,攻击者获取信息后,就会马上拿出来去其它他感兴趣的网络上尝试。
以往的角度来看,大家对于“撞库”的认知还停留在对于电商或金融行业的冲击危害。但最新的报告数据表明,除了传统受威胁比较大的行业外,媒体行业已然成为新的被攻击目标。
“撞库发生的前提一般是来自于用户在不同互联网平台的使用习惯——为了方便记忆,使用相同的用户名和密码,” Akamai区域副总裁暨大中华区总经理李昇在接受笔者的采访时表示,攻击者利用了人性的弱点,成功率非常的高。所以,从Akamai的报告中,我们看到2018年出现的三次最大规模的撞库攻击均针对流媒体服务,规模介于1.33亿次到2亿次攻击尝试,且都是在被报告数据泄露后不久发生的,这表明黑客可能会在出售被盗证书之前对其进行测试。
为帮助用户及时了解并应对新的安全威胁,Akamai在2019年的3月份,针对于产品的安全防护作出了重要升级和补充:其中包含了从底层的“S”层的DDoS攻击和到应用层的WAF,包括爬虫管理器(Bot Manager),从金字塔低到高扩展的防护的手段。而从“爬虫管理”的场景来讲,Akamai的重点是帮助用户防范类似于“撞库”事件的发生。
与此同时,Akamai通过行业收购了Janrain公司。据悉,Janrain专注于“用户身份管理”的研发,通过此次收购,Akamai在互联网“帐号滥用”防范方面的技术手段又得到了新的增强——能够对用户的身份管理、账户管理进行更有效的检测。
如今,谈及网络安全的问题,它不再是仅仅是一个产品所单独能够解决的问题,而是随时时代的变化和技术的升级,需要跟多和人力、政策和程序的共同配合。对于企业来说,网络安全防护同样如此,只不过在全民云时代,企业更需要注重“云”上的边缘防护战略,他们需要资深、安全、专业的平台为其构建完善的安全防范体系。
在李昇看来,Akamai正是这样的平台——不仅提供边缘防护战略,还提供这样一个专业技术:机器学习、人工智能及边缘平台所提供的技术相配合来进行防护。尤其是在“爬虫管理”方面,能够更好地验证了Akamai对于机器学习和人工智能这方面的应用。
比如,现在很多DDoS的攻击方式越来越人类化,导致企业的安全防范系统已经很难通过以往传统的攻击特征值、攻击频率来判断,幕后操纵者是一个真实的人还是一个爬虫。
“为了帮助客户更清晰的辨别操作者的‘ 真假,Akamai增加了多个维度的检测,包括:一个点击、鼠标移动的轨迹,以及键盘输入的节奏。”李昇表示,人的键盘输入频率是随变的,但机器却不同,它们是通过脚本来模拟的,如果是一个事先设定好的爬虫程序,可能它是一个非常平均的速度,这是一个很好的参考方向。
除此之外,Akamai还增加了很多其它的维度。比如说,Akamai对每个IP地址设有评分系统。根据IP地址以前在互联网上的行为,Akamai可以和评分系统来判断它的危害级别有多高。通过这些综合起来,能够得到一个更准确的判断,到底是人還是“爬虫”。
“总的来说,Akamai的‘爬虫管理器可以从三个层面来理解:判断它到底是不是爬虫、分析爬虫的种类进行分类以及确认爬虫性质,并采取行动。” Unmesh Deshmukh,Akamai亚太区云安全区域副总裁表示,Akamai的“爬虫管理”可以更好地识别出哪些是人工的流量、哪些是爬虫的流量,从而更好了解到底这个爬虫希望对客户的业务以及客户所在的网络做出哪些攻击。
值得一提的是,Akamai的“智能化检测手段”,包括人工智能的运用等所有的执行机制,都在边缘。这也是Akamai为什么面对访问量非常巨大的攻击,都可以非常从容的应对的重要原因,边缘的安全控制和防范是Akamai最主要的能力。
写在最后
在过去,很多企业的网络应用是由下而上的防护措施——使用TCP或者UDP层来建立网络中心进行防护,但是它更多的是基于传统的有“内外”之分的场景,事实上,这样的应用场景已经随着云计算时代的到来不复存在。
显而易见的是,企业上云成为趋势。但企业在新的应用环境中也需要一个新的防护顶层结构进行安全方案——“零信任”。
“Akamai 对于“零信任”的架构有三大重要原则。” Akamai企业安全产品资深总监Nick Hawkins表示,第一,假设网络是不安全的,时刻警惕威胁的存在。第二,不再提供基于地点的任何优势。那么也就意味着,在公司内部的网络上网和在公司外部的网络上网,它们之间相比是没有任何优势的。第三,所有的通讯都需要经过身份验证,并且会被授权。基于这三点重要原则,Akamai的应用程序防护措施是“自上而下”的,而不是像之前“自下而上”的。
Nick Hawkins强调,Akamai的用户,只有在验证自己的身份成功后,才能获得授权。经过了这些程序之后,用户才会有权利被连接到这个APP。这和我传统的应用VPN连接来说是一个巨大的转折。
“这样一种方式——身份是用户唯一的验证方式,使客户能够获得成功的授权进入访问。尤其是在未来的应用场景当中——用户无处不在、应用程序无处不在,客户需要这样一个“边缘保护”平台,才能够更好地执行“零信任”措施。”Nick Hawkins如是说。